Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Transkript

1 Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster

2 > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster e.v. ist ein Zusammenschluss von Unternehmen der It-Wirtschaft, von Unternehmen die It-sicherheitstechnologien nutzen, von hochschulen, von weiteren forschungs- und Weiterbildungseinrichtungen und Juristen. It-sicherheit umfasst dabei die themen safety & security und cloud- und Informationssicherheit. Der Verein fördert die erforschung, entwicklung, anwendung und Vermarktung von technologien, Produkten und Dienstleistungen, die zur erhöhung der Informationssicherheit und der funktionalen oder physischen sicherheit in Unternehmen beitragen. er unterstützt zudem die aus- und Weiterbildung in diesem Bereich, begleitet Unternehmensneugründungen und initiiert Kooperationen, insbesondere zwischen den mitgliedern des Vereins. Darüber hinaus informiert er Unternehmen und Privatanwender über sicherheitsrisiken, sowie technische und organisatorische Lösungen, z.b. durch öffentliche Veranstaltungen und Workshops. Bavarian IT Security & Safety Cluster... 02

3 Sandra Wiesbeck Clustermanagerin & Vorstandsvorsitzende Bayerischer IT-Sicherheitscluster e.v. > Informationssicherheit für den Mittelstand und Organisationen Mittelständische Unternehmen und Organisationen müssen sich zunehmend mit den Herausforderungen der Wirtschaftsspionage, des Datenschutzes und der Notwendigkeit hoher IT-Verfügbarkeit auseinander setzen. Die bestehenden Standardverfahren für IT-Service Management (ITSM) und für Informations-Sicherheitsmanagement (ISMS) sind in erster Linie für große Unternehmen entwickelt worden und daher in der Anwendung zu komplex und letztendlich zu teuer. ISIS12 ist ein Informations-SicherheitsmanagementSystem in 12 Schritten. Es wurde in einem Netzwerk des Bayerischen IT-Sicherheitsclusters e.v. entwickelt und beschreibt ein Vorgehensmodell, welches auf die Bedürfnisse von mittelständischen Unternehmen und Organisationen zugeschnitten ist. Bei dem integrierten Management-Ansatz werden ISMS und IT-SM verknüpft. Das Verfahren kann als mögliche Vorstufe zur ISO/IEC bzw. BSI IT-Grundschutz-Zertifizierung verwendet werden. Die insgesamt 12 Verfahrensschritte des Management-Systems sind im ISIS12-Handbuch beschrieben. Ergänzt wird dies durch den ISIS12- Katalog, der nur die relevanten Maßnahmen enthält, die für mittelständische Unternehmen und Organisationen in Frage kommen. Parallel dazu wird die Realisierung durch ein vom Netzwerk entwickeltes ISIS12-Softwaretool unterstützt. Eine Möglichkeit zur anschließenden Zer- tifizierung durch die Deutsche Gesellschaft zur Zertifizierung von Managementsystemen (DQS) besteht. Zertifizierte Unternehmen können so höchste Qualität in ihrer Informationssicherheitspolitik nachweisen ein Wettbewerbsfaktor, der speziell für mittelständische Unternehmen und Organisationen immer wichtiger wird. An der kontinuierlichen Weiterentwicklung und Vermarktung von ISIS12 arbeitet ein Team von ISIS12-Dienstleistern und Hochschulen im Bayerischen IT-Sicherheitscluster e.v. Das ISIS12 Handbuch und der Katalog sind öffentliche Dokumente. Empfehlenswert ist jedoch die Einführung von ISIS12 begleitet durch einen zertifizierten ISIS12- Dienstleister. Weitere Informationen zu ISIS12 erhalten Sie unter: > 03

4 > informationssicherheit in 12 schritten 01 Leitlinie erstellen mitarbeiter sensibilisieren Informationssicherheitsteam aufbauen It-Dokumentationsstruktur festlegen sicherheitsmaßnahmen modellieren It-struktur analysieren Kritische applikation identifizieren It-service management Prozess einführen soll-ist vergleichen Umsetzung planen Umsetzen revision 01 leitlinie erstellen IsIs12 schritt 1 beschäftigt sich mit der erstellung einer Unternehmensleitlinie für Informationssicherheit. Die Unternehmensleitlinie ist das zentrale strategiepapier. Darin werden die Informationssicherheitsziele sowie die daraus abgeleiteten und abzuleitenden Konzepte und maßnahmen festgehalten. Die mitarbeiter müssen zur einhaltung und Umsetzung von der Unternehmensleitung motiviert werden. Zu berücksichtigen sind insbesondere auch die unternehmensspezifischen sicherheitsziele wie z.b. reduzierung der Kosten im schadensfall oder aufrechterhaltung der Produktionsfähigkeit

5 ISIS12 INFORMATIONSSICHERHEIT IN 12 SCHRITTEN 02 mitarbeiter sensibilisieren In ISIS12 Schritt 2 stehen die Mitarbeiter und Führungskräfte im Mittelpunkt. Auf allen Organisationsebenen muss die Notwendigkeit des Projekts kommuniziert werden. In einem speziellen ISIS12-Vortrag sollen alle Mitarbeiter über den ISIS12-Workflow und die spezifische Bedeutung der Informationssicherheit für das Unternehmen hingewiesen werden. Neben dem Erhalt eines schriftlichen Exemplars der Leitlinie für Informationssicherheit sollen die Mitarbeiter regelmäßig über Neuerungen informiert werden. 03 informationssicherheitsteam aufbauen ISIS12 Schritt 3 beschreibt den Aufbau, die Zusammensetzung, die Aufgaben und Pflichten des Informationssicherheitsteams. Leiter ist der Informationssicherheitsbeauftragte (ISB), der auch für die Einführung des ISIS12 Prozesses verantwortlich ist. Die Berichterstattung erfolgt direkt an die Unternehmensleitung. 04 it-dokumentationsstruktur festlegen ISIS12 Schritt 4 beschäftigt sich mit einer zielführenden IT-Dokumentation. Absolut wichtig ist die Aktualität der Dokumente, die der IT-Verantwortliche kontinuierlich kontrollieren muss. Um Änderungen nachzuvollziehen, ist eine Versionierung der Dokumente erforderlich. 05 it-service-management-prozess einführen In ISIS12 Schritt 5 erfolgt die Implementierung von drei fundamentalen IT-Service-Managementprozessen: Wartung, Änderung und Störungsbeseitigung. Wird im Rahmen einer Wartung eine Änderung nötig, wird diese über den Änderungsprozess eingesteuert. Final wird der Störungsbeseitigungsprozess definiert. 06 Kritische Applikationen identifizieren Mit ISIS12 Schritt 6 beginnt die operative Phase des ISIS12 Vorgehensmodells. Dabei werden nur unternehmenskritische Anwendungen identifiziert und bewertet. Diesen werden jeweils 3 Schutzbedarfskategorien, bezogen auf die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit, zugeordnet.... > 05

6 INFORMATIONSSICHERHEIT IN 12 SCHRITTEN 07 IT- Struktur analysieren Nach der Lokalisierung kritischer Applikationen steht in ISIS12 Schritt 7 die Definition des Informationsverbunds im Mittelpunkt. In diesem werden die technischen, personellen, organisatorischen und infrastrukturellen Objekte, die für die Verarbeitung von Informationen im Unternehmen benötigt werden, zusammengefasst. 08 sicherheitsmaßnahmen modellieren In ISIS12 Schritt 8 erfolgt die Zuordnung der empfohlenen Sicherheitsmaßnahmen zu den in Schritt 7 ermittelten Objekten. Die Bausteine, die für den gesamten Informationsverbund anzuwenden sind, lauten: Universale Aspekte, Infrastruktur, IT-Systeme / Netze und Anwendungen. Diesen Bausteinen werden die IT-Objekte zugeordnet, z.b. Gebäude und Serverraum gehören zur Infrastruktur. 09 ist-soll vergleichen In ISIS12 Schritt 9 soll mit dem Ist-Soll-Vergleich ein Überblick über den Umsetzungsgrad der in Schritt 8 geforderten Maßnahmen gegeben werden. Die Erhebung kann durch die vom ISB ernannten verantwortlichen Spezialisten im Unternehmen durchgeführt werden. Die hierfür vom ISIS12-Softwaretool erstellten Erhebungsbögen können im größeren Kreis oder in Einzelinterviews abgearbeitet werden. 10 Umsetzung planen In ISIS12 Schritt 10 wird ein Maßnahmenkatalog erzeugt und konsolidiert. Die umzusetzenden Maßnahmen werden priorisiert und zusammen mit einer Kostenabschätzung der Geschäftsleitung als Vorschlag präsentiert. Nach Festlegung der Umsetzungsreihenfolge der Maßnahmen werden diese in ISIS12 Schritt 11 final umgesetzt. 11 Umsetzen In ISIS12 Schritt 11 werden die konsolidierten und genehmigten Sicherheitsmaßnahmen im Unternehmen umgesetzt. Für jede Maßnahme, sind die Rollen des Initiators, des Umsetzers und der Zeitpunkt der Realisierung festzulegen. Bei einer komplexen Umsetzung ist zu überlegen, ob eine Schulung der Mitarbeiter sinnvoll ist. 12 Revision Mit dem Abschluss des Schrittes fordert das ISIS12-Softwaretool zur Eingabe eines Revisionstermins für eine oder mehrere Maßnahmen auf. Die gescannte Revisionsliste wird in Schritt 12 erzeugt

7 ISIS12 DQS > Deutsche Gesellschaft zur Zertifizierung von Managementsystemen Die DQS mit Hauptsitz in Frankfurt am Main fokussiert als einziger großer Zertifizierer die Begutachtung und Zertifizierung von Managementsystemen und Prozessen in Unternehmen und Organisationen. Zum umfangreichen Begutachtungs-Portfolio zählen neben den Schwerpunkten Qualität, Umwelt und Energie auch Themen aus dem Service- und Risikosegment wie beispielsweise ISMS nach ISO Sobald Sie ISIS12 erfolgreich in Ihrem Unternehmen eingeführt haben und der Schritt 12, die Revision, abgeschlossen ist, können Sie sich von der DQS als Exklusivpartner nach ISIS12 zertifizieren lassen. Das Zertifikat hat eine Gültigkeit von drei Jahren. In diesen drei Jahren finden zwei Überwachungsaudits statt. Im dritten Jahr kann durch eine Rezertifizierung das Zertifikat neu erteilt werden. Zum Nachweis Ihrer erfolgreichen Zertifizierung können Sie zu Werbezwecken das folgende Logo nutzen, zum Beispiel auf dem Geschäftspapier, auf Broschüren oder im Internet.... > 07

8 Herausgeber Bayerischer IT-Sicherheitscluster e.v. Bruderwöhrdstraße 15 b Regensburg Telefon: +49-(0) Telefax: +49-(0) sandra.wiesbeck@it-sec-cluster.de Redaktion Sabine Hirdina Katrin Neubauer Sandra Wiesbeck Titelbilder Konzept & Gestaltung: